汤名晖评论文章: 近年来全球人工智慧领域持续发展,2026年初,单纯依赖人类提示词输入的“生成式对话模型”(Generative AI)迈向具备自主决策、规划与执行能力的“代理式人工智慧”(Agentic AI)。
这一波AI催动的生产力革命,来自于奥地利工程师Peter Steinberger,他于2025年推出开源AI代理软体“OpenClaw”。由于该软体的官方标志为一只红色龙虾,在中文科技社群与大众语境,安装与部署此软体的过程被亲昵地称为“养龙虾”。
OpenClaw的技术扩散速度令人咋舌,在上线短短数十天内,其在开源平台GitHub上斩获超过25万颗星,不仅超越Linux作业系统三十年的发展历程,更成为开源软体史上成长最快的专案。
全民养虾引发安全疑虑
“养龙虾”狂热在中国引发前所未有的“全民养虾”热潮,不仅吸引专业开发者,更跨越技术门槛,让无数非技术背景的群体投入其中。
OpenClaw的出现,还改变业界生态,催生“一人公司(One-Person Company, OPC)”的新型态智慧经济模式,使得单一个体能够借由AI代理完成过往需要整个团队才能执行的复杂商业流程。然而,这场由底层开源技术引爆的生产力解放,迅速触动中国国家安全与数位主权的极度敏感神经。
2026年3月中旬,国家安全部罕见地针对特定开源软体,透过官方微信公众号发布《“龙虾”(OpenClaw)安全养殖手册》,以严厉的姿态划定四大安全红线。彭博社(Bloomberg)等多家国际媒体也披露,中国政府已透过内部管道向国有企业(SOEs)、大型银行及政府机构下达严格禁令,全面封杀OpenClaw在办公设备乃至军人眷属个人设备上的部署。
全民养虾凿穿“防火长城”
OpenClaw之所以能引发全球性的技术狂热与安全恐慌,其核心在于彻底打破了传统大型语言模型(LLM)的被动互动模式。传统的生成式AI扮演的是“数位顾问”的角色,使用者输入提示词,模型输出文本或建议,但行动的最终执行权仍掌握在人类手中。
OpenClaw的底层架构则是构建一个完整的“思考—规划—执行—反馈”(Thinking—Planning—Execution—Feedback)自主循环。这种架构被定义为“单一代理架构”(Mono-agent architectures),整合感知、推理与行动,使系统能够独立运作以达成既定目标。在技术实作上,OpenClaw允许使用者透过修改系统环境变数,直接赋予AI代理执行底层电脑指令(Shell access)的权限。
因此,OpenClaw能够实质接管使用者的电脑操作权限,自动读取与写入本地档案、跨应用程式,包括无缝操作WhatsApp、Telegram、Slack与电子邮件客户端进行协作,甚至自主浏览网页、分析文件内容并管理日历排程。这种“端到端”(End-to-End)的任务处理能力,让AI成为具备实质执行能力的“虚拟员工”。
OpenClaw的另一个技术颠覆性在于其高度开放的插件生态系统。该软体并非一个封闭的黑盒子,而是允许开发者透过其官方技能商店(ClawHub)上架各种第三方技能插件(Skills)。
然而,这种开放性同时也构成问题,OpenClaw在设计上假设“本地执行即安全执行”(Local execution equates to safe execution),代理程式直接在主机上运行,缺乏严格的容器化(Containerization)或沙盒隔离(Sandbox isolation)机制。
也就是说,代理程式拥有与使用者同等级的存取权限,当使用者下载并安装未经严格审核的第三方插件时,便有很高的机率让系统门户大开,甚至凿穿中国的“防火长城”,因此而被国安与信息化相关部门注意。
当前中国的应对策略是透过国安红线进行物理切割,再由本土科技寡头进行资本与生态的收编。(取自freepik)
国安部《“龙虾”安全养殖手册》的安全底线
中国国家安全部透过其官方微信公众号,正式发布《“龙虾”(OpenClaw)安全养殖手册》。随后,中国工业和信息化部(MIIT)、国家计算机网络应急技术处理协调中心(CNCERT)及中国互联网金融协会(NIFA)相继发出最高级别的风险警示,并启动针对该软体的行政干预。
国安部的手册将OpenClaw定义为具备“主动服务”与“自我进化”能力的“数字员工”,而非单纯的数位宠物或工具,并明确划定四大原生风险,再次展现威权体制面对开放环境时的焦虑。
OpenClaw的强大执行力建立在获取系统高阶权限,导致主机可能被接管,系统权限面临丧失。国安部警告,为实现AI代理的“做事”能力,使用者频繁赋予其作业系统的最高权限(Root/Admin),可能引发因AI错误操作导致灾难性数据损失,攻击者也可借此漏洞神不知鬼不觉地获取设备管理权限。
一旦主机被远程操控,这些拥有高度权限且联网的自动化端点将被非法占用。在国家安全的宏观语境下,将成为潜在的僵尸网络(Botnet),可直接胁中国通讯基础设施的安全性。
由于OpenClaw具有长期记忆使用者操作纪录的能力,其本地存储单元中包含了大量的API金钥、系统环境变数凭证、聊天纪录与个人敏感文件,数据可能被窃取。中国互联网金融协会(NIFA)指出,若从业人员或消费者在用于网上银行、证券交易的终端设备上安装OpenClaw,将成为黑客窃取敏感数据或非法金融交易的突破口。
由于以上的机制,中国忧虑OpenClaw可能篡改言论与意识形态,造成政治与维稳风险。国安部指出,一旦“龙虾”智能体被攻击者接管,可能被用于在社交网络上自主发声,生成并大规模传播虚假信息。在中国严密的网络审查与舆论控制体系下,传统的人为审查机制难以应对由AI代理构成的“自动化网军”。AI代理将能有效揭穿中国政府的官方言论,提供多元信息,并且成为各地串联反抗中共的工具。
OpenClaw作为开源专案,攻击者可透过ClawHub发布伪装成实用工具的恶意扩充套件,诱导智能体突破权限管控,主动窃取本地设备的核心敏感资讯,其隐蔽性与破坏力远超传统木马程式,技术漏洞与恶意插件投毒无法阻止。
更具体的例证是,引发中国监管机构恐慌的 CVE-2026-25253 (ClawJacked) 严重漏洞。该漏洞的CVSS评分高达8.8,其根源在于OpenClaw本地的WebSocket伺服器缺乏严格的来源验证与身分认证。
攻击者可透过“跨站WebSocket劫持”(Cross-Site WebSocket Hijacking, CSWH),诱使运行OpenClaw的使用者浏览恶意网页。该网页会在后台向 localhost:8000 发起连接,由于AI代理具备自主的工具调用能力,攻击者可以绕过防火墙,在受害者的主机执行任意程式码(RCE)并窃取安全Token。
中国以资本与国家体制进行双重收编
面对OpenClaw带来的多重安全与政治风险,中国政府并未采取单纯的“一刀切”物理断网封杀,而是实施威权特色的“双轨制”战略,这是因为“养龙虾”是新质生产力所必需的生产资料。中国在体制内祭出行政禁令的同时,引导本土业者,将开源生态收编入“自主可控”的国产云端体系。
根据彭博社(Bloomberg)的报道,中国政府已向国有企业(SOEs)、大型银行及各级政府机构下达内部指令,全面禁止在办公设备上安装或运行OpenClaw软体。禁令的执行极为严厉:已安装该软体的员工必须向主管报告并接受安全审查与强制移除;部分机构甚至将禁令延伸至连接公司网络的个人手机。禁令范围更是扩及军人眷属的个人设备,这显示中国将AI代理的数据外泄视为迫在眉睫的国防级别威胁。
这一系列举措的目的,是要将原本运行于使用者本地端(Localhost)的边缘运算能力,强制收编至受国家高度监管的集中式资料中心。OpenClaw作为一个需要长期稳定联网并消耗大量算力的后台程式,对个人电脑的负载极大。腾讯等业者也借由举办线下装机活动,大力推销其“轻量应用伺服器”(Lighthouse),鼓励使用者将AI代理部署在其云端。
透过将代理推向云端,中国科技业者与政府形成分进合击,业者们获得庞大的算力租赁与数据垄断收益;而政府则彻底消除政治上的不安因素,回到有序的安全掌控。使用者的API调用、隐私数据与行为轨迹,重新回到防火长城与国家审查机制。
AI代理的意识形态对齐机制
对于中国的监管框架而言,AI代理的对齐机制必须从单纯的“内容过滤”升级为深层的规训。AI代理不再只是“说话”,它们能够自动调用搜寻引擎、读取跨国文献、撰写电子邮件,甚至在社交媒体上自主发布贴文。
因此,政府必须能够即时判定其“行动意图”是否符合政治正确与社会主义核心价值观。这催生基于“宪法AI”(Constitutional AI, CAI)概念的变体,即将意识形态规则直接写入系统模型的底层约束。
为此,中国实施被称为“本地化对齐”(Localization Alignment)的技术路径,早年新华社开发的“媒体大脑”(Media Brain)系统,在进行线索发现与舆情监控时,便高度强调内容准确性与意识形态的绝对对齐。
在AI时代,中国政府透过强制要求演算法备案与安全评估报告,确保所有用于商业化营运的AI代理,其底层的神经网络权重(Weights)与系统级提示词(System Prompts)都经过严格的政治调整。
外国开源架构之所以被视为国安威胁,正是因为其决策权重未经中国网信办的价值观审查。腾讯的WorkBuddy等国产替代方案中植入的安全模组,实质上就是将国家意志编译成不可篡改的程式码,对AI代理的行为轨迹执行自动化的“政治审查”。
AI时代的地缘政治断层线
“龙虾”OpenClaw在中国引发的风潮与管制,是人工智慧时代地缘政治与数位经济冲击的缩影。在经济与生产层面,OpenClaw证明了AI已跨越对话的边界,成为具备实体破坏力与生产力的行动主体。然而,在国家层面,这一现象彻底暴露威权体制面对极度去中心化技术时的结构性焦虑。
当前中国的应对策略是透过国安红线进行物理切割,再由本土科技寡头进行资本与生态的收编。政府成功将一项可能削弱集中控制的颠覆性技术,驯化为稳固“国家—资本”监控基础设施的新型工具。然而,这种以牺牲开源创新自由度为代价的双轨制维稳策略,长期而言将导致中国在下一波通用人工智慧的底层架构竞争陷入封闭与落后。中国在OpenClaw事件坚决贯彻安全,更进一步分化全球AI生态链,基于不同意识形态与安全诉求的“数位铁幕”将持续分隔世界。
